Fachwissen DORA - Regulatory Technical Standards (RTS) des DORA

Delegierte Verordnung (EU) 2024/1774 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens

Im Zuge des Digital Operational Resilience Act (DORA) hat die Europäische Union konkrete Anforderungen an die digitale Resilienz und die Cyber-Sicherheit von Finanzinstituten formuliert. Die Regulatory Technical Standards (RTS) dienen dabei als verbindliche technische Leitlinien, die Finanzunternehmen wie Sparkassen umsetzen müssen, um den gesetzlichen Anforderungen der DORA-Verordnung gerecht zu werden.

Die RTS konkretisieren die DORA-Anforderungen und bieten eine klare Struktur zur Einführung von Sicherheitsmaßnahmen und Risikomanagementprozessen. Sie decken verschiedene zentrale Bereiche der digitalen Resilienz ab, darunter:


IKT-Risikomanagement

Das IKT-Risikomanagement ist das Kernstück der DORA-Verordnung und umfasst die Festlegung von Sicherheitsrichtlinien, Verfahren zur Risikobewertung sowie die Verwaltung akzeptierter IKT-Restrisiken. Finanzinstitute müssen sicherstellen, dass sie alle relevanten Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) identifizieren und behandeln. Die RTS geben klare Vorgaben zur Risikobewertung und Risikobehandlung, sodass Institute ihre Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und technischen Ausfällen systematisch stärken können.

Schwachstellen- und Patch-Management

Das Schwachstellen- und Patch-Management stellt sicher, dass alle Schwachstellen in der IKT-Infrastruktur identifiziert und behandelt werden. Gemäß RTS müssen kritische IKT-Systeme und Anwendungen mindestens wöchentlich auf Schwachstellen gescannt und alle Patches zeitnah implementiert werden. Darüber hinaus sind Kriterien zur Priorisierung von Patches und Verfahren zur Überwachung festzulegen. Das Ziel ist eine kontinuierliche Sicherstellung der Integrität und Verfügbarkeit der Systeme.

Zugangskontrolle und Identitätsmanagement

Um unbefugten Zugang zu sensiblen Daten zu verhindern, fordern die RTS strenge Maßnahmen zur Zugangskontrolle und zum Identitätsmanagement. Dies schließt die starke Authentifizierung für kritische Funktionen sowie eine regelmäßige Überprüfung der Zugangsrechte ein. Jeder Benutzer, intern oder extern, erhält eine eindeutige Identität, und die Rechte werden nach dem „Need-to-Know“-Prinzip vergeben. Diese Maßnahmen sind zentral, um eine hohe Datensicherheit und die Integrität der Systeme zu gewährleisten.

IKT-Kontinuitätsplanung und Notfallmanagement

Im Rahmen der IKT-Kontinuitätsplanung legen die RTS detaillierte Anforderungen an die Erstellung und regelmäßige Überprüfung von IKT-Notfallplänen fest. Diese Pläne müssen sicherstellen, dass kritische Funktionen auch im Falle eines Ausfalls rasch wiederhergestellt werden können. Die RTS verlangen eine regelmäßige Überprüfung und Erprobung der Notfallpläne auf Basis realistischer Szenarien, einschließlich der Einbeziehung externer Dienstleister und der Bewertung ihrer Leistungsfähigkeit. Dies umfasst Szenarien wie Cyberangriffe, Ausfälle von IKT-Drittdienstleistern und Naturkatastrophen.

Verschlüsselung und Datenintegrität

Die RTS verlangen eine Richtlinie für den Einsatz kryptographischer Kontrollen, die sicherstellen, dass Daten sowohl während der Übertragung als auch im Ruhezustand vor unbefugtem Zugriff geschützt sind. Für besonders kritische Funktionen wird zudem die „Data-in-Use“-Verschlüsselung gefordert. Falls Verschlüsselung nicht möglich ist, müssen alternative Sicherheitsmaßnahmen ergriffen und dokumentiert werden.

Management von IKT-bezogenen Vorfällen

Die RTS geben detaillierte Anforderungen für das Management von IKT-bezogenen Vorfällen vor. Dazu zählen Verfahren zur Erkennung und Reaktion auf anomale Aktivitäten sowie die Dokumentation und Analyse wiederkehrender Vorfälle. Finanzinstitute müssen sicherstellen, dass alle relevanten Informationen zu Sicherheitsvorfällen gesammelt und geschützt werden, um eine kontinuierliche Verbesserung der Sicherheitslage zu ermöglichen.

Umsetzung und Bedeutung der RTS für Finanzinstitute

Die RTS des DORA stellen einen bindenden Standard dar und unterstützen Finanzinstitute dabei, ihre digitale Resilienz nachhaltig zu verbessern und den Anforderungen der zunehmend digitalisierten Finanzwelt gerecht zu werden. Die Maßnahmen reichen von der Governance und dem Management IKT-bezogener Risiken bis zur detaillierten Festlegung von Verantwortlichkeiten und Prozessen zur Sicherstellung des Geschäftsbetriebs. Die durch die RTS konkretisierten Standards ermöglichen eine transparente und einheitliche Umsetzung der DORA-Vorgaben und tragen dazu bei, das Vertrauen in die Cybersicherheit von Finanzinstituten zu stärken.

Regulatory Technical Standards (RTS) des DORA - Artikelüberblick

Die RTS des Digital Operational Resilience Act (DORA) bilden eine gesetzliche Grundlage, um die digitale Resilienz von Finanzunternehmen sicherzustellen.

Artikel 01 - Gesamtrisikoprofil und Komplexität

  • DORA-Referenz: Keine spezifische Referenz
  • Inhalt: Festlegung der Risikoprofile und Komplexitätseinstufungen, um ein erhöhtes oder verringertes Risiko zu identifizieren.
  • Relevanz: Nicht relevant

Artikel 02 - Allgemeine Elemente der IKT-Sicherheit

  • DORA-Referenz: Artikel 6.2, 6.5, 6.8
  • Inhalt: Bestimmungen zur IKT-Sicherheitsrichtlinie, Anforderungen an die Informationssicherheitsrichtlinie (ISR) und deren regelmäßige Genehmigung durch die Geschäftsleitung.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Sicherstellung der Kompatibilität der Sicherheitsrichtlinien mit den Informationssicherheitszielen gemäß CIA (Confidentiality, Integrity, Availability).
    • Regelmäßige Überprüfung und Dokumentation der IKT-Sicherheitsrichtlinien.
    • Sicherstellung der Aufgabentrennung im 3-Linien-Modell (Operativ, Kontrollfunktion, Revision).

Artikel 03 - IKT-Risikomanagement

  • DORA-Referenz: Artikel 6.3, 6.8
  • Inhalt: Anforderungen an ein systematisches IKT-Risikomanagement, Risikotoleranzschwellen und die jährliche Überprüfung von Restrisiken.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Ein Cyber Defense Center sollte implementiert werden, um eine kontinuierliche Überwachung und Schwachstellenmanagement zu gewährleisten.
    • Die jährliche Überprüfung der Risikotoleranz und die kontinuierliche Verbesserung auf Basis von Schwachstellenscans und Risikoanalysen ist sicherzustellen.

Artikel 04 - Politik zur Verwaltung der IKT-Anlagen

  • DORA-Referenz: Artikel 8.1, 8.3, 8.4, 8.5, 8.6, 8.7
  • Inhalt: Verwaltung der IKT-Anlagen durch detailliertes Asset-Management mit Klassifizierung, eindeutiger Identifikation und Pflege.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Erstellung einer IKT-Asset-Management-Richtlinie, die die Anforderungen an Lebenszyklusmanagement und kritische IKT-Assets festlegt.
    • Regelmäßige Aktualisierung und Überprüfung der Dokumentation und Pflege aller IKT-Assets.

Artikel 05 - Verfahren zur Verwaltung von IKT-Anlagen

  • DORA-Referenz: Artikel 8.6
  • Inhalt: Anforderung an ein dokumentiertes Verfahren für das IKT-Asset-Management, einschließlich Kriterien zur Bewertung der Kritikalität von Assets.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Das Schutzbedarfsverfahren sollte beibehalten und regelmäßig überprüft werden. Für die Klassifizierung der IKT-Assets können bestehende Standards, wie ISO 27001, als Grundlage dienen.

Artikel 06 - Verschlüsselung und kryptografische Kontrollen

  • DORA-Referenz: Artikel 9.4d
  • Inhalt: Anforderungen an die Verschlüsselung und Schlüsselverwaltung, inklusive Kryptografie bei „Data-in-Rest“, „Data-in-Motion“ und „Data-in-Use“.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Implementierung von Kryptographie-Richtlinien auf Basis der Datenklassifizierung und IKT-Risikobewertung.
    • Verankerung einer Schlüsselverwaltung und Sicherstellung der Verfügbarkeit kryptografischer Techniken auf dem aktuellen Stand der Technik.

 

Artikel 07 - Verwaltung kryptographischer Schlüssel

  • DORA-Referenz: Artikel 9.4d
  • Inhalt: Umfassende Anforderungen an die Verwaltung kryptographischer Schlüssel über ihren gesamten Lebenszyklus (Erzeugung, Speicherung, Nutzung, Rücknahme, Vernichtung).
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Etablierung eines strukturierten Schlüsselmanagementprozesses, der den gesamten Lebenszyklus abdeckt und die Anforderungen an die Integrität und Sicherheit der Schlüssel sicherstellt.
    • Überprüfung und Anpassung vorhandener Schlüsselmanagement-Tools und -Prozesse, um den DORA-Anforderungen gerecht zu werden.

Artikel 08 - Grundsätze und Verfahren für den IKT-Betrieb

  • DORA-Referenz: Artikel 9
  • Inhalt: Anforderungen an Sicherheitsverfahren zur Aufrechterhaltung der Netzwerksicherheit und zum Schutz vor unautorisiertem Zugriff und Datenmissbrauch. Umfasst Maßnahmen zur Sicherstellung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Implementierung einer IKT-Betriebsrichtlinie, die alle Schritte von der Installation über Wartung und Konfiguration bis zur Deinstallation abdeckt.
    • Integration von Fehlerbehandlungsprotokollen und Sicherheitsvorgaben, um eine kontinuierliche Betriebsstabilität und Datenintegrität sicherzustellen.

Artikel 09 - Kapazitäts- und Leistungsmanagement

  • DORA-Referenz: Artikel 9
  • Inhalt: Sicherstellung eines effektiven Kapazitäts- und Leistungsmanagements, um die Verfügbarkeit von Systemen und Daten zu gewährleisten und Kapazitätsengpässe zu vermeiden.
  • Relevanz: Nicht relevant für standardisierte Institute; hauptsächlich für komplexe Netzwerke und Infrastrukturen.
  • Umsetzungshinweise:
    • Dokumentation bestehender Kapazitätsmanagementprozesse zur Sicherstellung der Einhaltung der Anforderungen.
    • Regelmäßige Prüfung und Anpassung der Kapazitätsplanung, insbesondere bei geänderten Geschäftsanforderungen oder bei neuen IKT-Projekten.

Artikel 10 - Schwachstellen- und Patch-Management

  • DORA-Referenz: Artikel 9.4f
  • Inhalt: Forderung eines umfassenden Schwachstellenmanagements inkl. wöchentlicher Scans für kritische Funktionen und Verwaltung von Drittanbieteranwendungen.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Etablierung eines Schwachstellenmanagements mit regelmäßigen Scans und Berichterstattung.
    • Anpassung der Verträge mit Drittanbietern zur Einhaltung der Schwachstellen- und Patchmanagementanforderungen

Artikel 11 - Daten- und Systemsicherheit

  • DORA-Referenz: Artikel 8.1, 9.1 bis 9.4
  • Inhalt: Einführung eines umfassenden Daten- und Systemsicherheitsverfahrens, um den Zugriff auf sensible Daten zu kontrollieren und deren Integrität und Vertraulichkeit zu wahren.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Erstellung einer IKT-Sicherheitsrichtlinie, die Zugangsbeschränkungen, Konfigurationsmanagement und die sichere Nutzung tragbarer Endgeräte umfasst.
    • Einführung von Kontrollmechanismen für mobile Endgeräte und private Geräte, um Datensicherheit auch außerhalb der Unternehmensumgebung sicherzustellen.

Artikel 12 - Protokollierung

  • DORA-Referenz: Artikel 7
  • Inhalt: Anforderung an ein umfassendes Protokollierungs- und Überwachungssystem zur Aufzeichnung von Ereignissen, um die Erkennung und Untersuchung von Sicherheitsvorfällen zu ermöglichen.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Implementierung eines Protokollierungssystems, das sicherstellt, dass alle relevanten Sicherheitsereignisse festgehalten werden. Zu den Ereignissen zählen insbesondere Identitätsmanagement, Netzaktivitäten und Änderungsmanagement.
    • Sichherstellung der Zugriffs- und Manipulationsschutzmechanismen für Protokolldaten, insbesondere bei der Speicherung und Übertragung.

Artikel 13 - Verwaltung der Netzsicherheit

  • DORA-Referenz: Artikel 9.4b
  • Inhalt: Richtlinien zur Segmentierung und Sicherheit der Netzwerkinfrastruktur, Netzwerkkontrollen und Trennung von Produktions- und Entwicklungsumgebungen.
  • Relevanz: Kritische/wichtige Funktionen
  • Umsetzungshinweise:
    • Implementierung einer Netzsicherheitsrichtlinie, die die Segmentierung und Trennung der Umgebungen gemäß Schutzbedarfsbewertung vornimmt.
    • Verwendung zentraler Dokumentationen und Netzwerkpläne, die jährlich überprüft werden.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Auszeichnung:

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

- Eine Beratung mit PROFIL -

H-UB Leistungskatalog

Download
H-UB Leistungskatalog.pdf
Adobe Acrobat Dokument 89.4 KB
Download

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH